コンピュータ・インターネット関係

[雑感]SSL 3.0 脆弱性 POODLEで気になった点とメモ。

こんばんわ。
TOMOROHです。

さて、先週からSSL 3.0の脆弱性「POODLE」が発表され、調べていました。

今回の脆弱性については、
設計上の問題で、パッチはでないであろうということ。
ということで、視点別にいくつかメモしておきたいと思います。

Windows パソコンを利用者している方

 

Internet Explorer 

 「SSL 3.0」を無効にし、「TLS 1.0」以降を有効にします。
 これは、いろいろと情報がでているので、問題ないかな。
 

Google Chrome

 最新版にすれば自動的にSSL 3.0が無効となっているようです。
 なお、最新版にできない場合は、chromeを起動するときに「--ssl-version-min=tls1」を追加して起動するとSSL 3.0より前のものが無効となるようです。
 

FireFox

 mozillaから「SSL Version Control」というアドオンがリリースされています。
 https://addons.mozilla.org/ja/firefox/addon/ssl-version-control/
 ほかにも方法がありますが、今回はこちらで。
 Oracleの「JRE」を利用している方は、コントロールパネルから「詳細」へ行き、「SSL 3.0」を無効に「TLS 1.0」以降を有効にします。
 

webサーバーを運用している方

Windowsで運用している場合。

マイクロソフト セキュリティ アドバイザリ 3009008

Windows で SSL 3.0 を無効にする
Windows で SSL 3.0 プロトコルのサポートを無効にするには、次のステップに従ってください。
[スタート] メニューをクリックして [ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「regedt32」または「regedit」と入力して、[OK] をクリックします。
レジストリ エディターで、次のレジストリ キーを見つけます。
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols\SSL 3.0\Server
注: レジストリ キーの完全なパスが存在しない場合は、使用可能なキーを展開し、[編集] メニューの [新規] -> [キー] オプションを使用してパスを作成できます。
[編集] メニューの [値の追加] をクリックします。
[データ型] の一覧で [DWORD] をクリックします。
[値の名前] ボックスで、「Enabled」と入力し、[OK] をクリックします。
注: この値が既に存在する場合は、値をダブルクリックして現在の値を編集します。
バイナリ エディタで「00000000」と入力し、新しいキーの値を "0" に等しく設定します。
[OK] をクリックします。コンピューターを再起動します。

注: この回避策により、コンピューターにインストールされているすべてのサーバー ソフトウェアに対し SSL 3.0 が無効になります。

注: この回避策を適用すると、SSL 3.0 に依存するクライアントはサーバーと通信できなくなります。

とのことです。

Linux系で運用している場合。

SSL 3.0 を無効に設定する方法(POODLE対応) apache+mod_ssl, nginx - Qiita
を参考に。

ということで。

フューチャーフォンを利用している方。

ガラケー - SSLv3で問題になるフィーチャーフォンの対応 - Qiita
フューチャーフォン通称ガラケー
docomoやソフトバンクのものはほぼ問題ないですね。
問題は、au by KDDI
2012年の5月にファームのアップデートがリリースされ、かなりのものがTLS 1.0に対応しています。
が、それでも、SSL 3.0までしか対応していないものが多く、またファームのアップデートが利用者でやってもらえるかどうか。

現在、多くのネットバンクでIEの設定変更は通知されているのですが、ガラケーについては全くと言っていいほど情報が出てきません。
正直、「au」はガラケーユーザーに早くアナウンスし、スマホに変えるように仕向けてしまえばよいのに。

そうすれば、独自仕様満載の「au」のガラケーが撲滅できてサイト作成者側およびサーバー管理者は助かるんですけど。

ではでは。

追記:
Windowsのレジストリを黙々と書くために専用のサイトを立ち上げました。
Windowsレジストリ置き場 | Windowsレジストリを置いておきます。

なお、今回のSSL 3.0の脆弱性対策のためのIEのレジストリも記載しております。
[IE]SSL3.0を無効にするレジストリ | Windowsレジストリ置き場
[GP]パソコン全体にIEのSSL3.0を無効にするレジストリ | Windowsレジストリ置き場
ということで、宣伝と紹介でした。

広告

-コンピュータ・インターネット関係

Copyright© TOMOROH’sBlog , 2020 All Rights Reserved Powered by AFFINGER5.